论文部分内容阅读
随着局域网规模的不断扩大,网络运维的难度也越来越大。特别是遇到ARP病毒攻击后,局域网中的计算机无缘无故就会出现断网现象,时而这台电脑,时而另一台电脑,出现IP地址冲突,网速时快时慢,严重影响了网络的正常通讯。
一、判断是否是ARP攻击
当发现上网明显变慢,或者突然掉线时,我们可以用ARP命令来检查ARP表。依次单击桌面“开始→运行”菜单,打开“运行”对话框,在“打开”后输入“CMD”命令并回车,进入“CMD”命令提示符界面。接着,在提示符后输入“ARP-A”并回车(图1)如果显示的网关的MAC地址发生了改变,或者有很多IP地址是指向同一个物理地址,可以判定受到了ARP攻击。
二、揪出ARP病毒的主机
通过上面的“ARP-A”命令,那个改变的网关MAC地址或多个IP指向的物理地址,就是病毒主机的MAC地址。接着,再次进入“CMD”命令提示符界面,在提示符后输入“Ipconfig/all”并回车,就可以查出每台计算机的MAC地址(图2)。如果局域网中计算机数量很多的话,可以使用“NBTSCAN”扫描PC的真實IP地址和MAC地址。下载nbtscan.rar文件,将解压好的“cygwin1.dll”和“nbtscan.exe”两文件复制到本地电脑“C:\WINDOWS\system32”下,进入cmd命令提示符界面,在提示符后输入“nbtscan-r10.95.86.0/24”并回车(图3),搜索“10.95.86.1-10.95.86.254”整个网段,输出的第一列是IP地址,最后一列是MAC地址,这样即可找到病毒主机的IP地址。或者进入命令提示符界面,在提示符后输入路由跟踪命令“tracert–dwww.baidu.com”并回车,正常情况下输出的第一条就是默认网关地址。如果第一条并非网关IP地址,那它的主机就是ARP病毒的主机。
三、彻底查杀ARP病毒
彻底查杀ARP病毒,需要定位到攻击源地址,利用ARP专杀工具进行杀毒。找到ARP攻击的源头后,在源头的计算机上安装ARP专杀工具进行查杀操作,对病毒库进行更新后即可进行查杀。如果杀毒软件查杀不干净的话,可以用下面的方法来彻底杀除ARP病毒。首先,进入“%windows%\System32”文件夹,删除“LOADHW.EXE”病毒组件释放者文件,再删除“driversnpf.sysARP”欺骗包的驱动程序。接着,右击桌面“计算机”,选择“设备管理器”菜单,进入“设备管理器”窗口。依次单击“查看→显示隐藏的设备”菜单,在设备树展开“非即插即用”列表项(图4),找到“NetGroupPacketFilterDriver”“NetGroupPacketFilter”后并右击,在弹出菜单中选择“卸载”,确认后进行卸载操作,重启Windows系统。然后,进入“%windows%\System32\drivers”文件夹,删除“npf.sys”。再次进入“%windows%\System32”文件夹,删除“msitinit.dll”文件。最后,依次单击桌面“开始→运行”菜单,打开“运行”对话框,在“打开”后输入“regedit”命令并回车,进入“注册表编辑器”,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”注册表项,删除“Npf”子项后,重启Windows系统即可。
四、防范ARP病毒攻击
一是使用杀毒软件实现ARP防护。打开最新版本的“360安全卫士”,单击主界面右下角的“更多”,进入“功能大全”界面。点击左侧的“网络优化”,在工具列表找到“流量防火墙”并单击,在弹出的新窗口,单击上面的“局域网防护”后,再单击下面“立即开启”进行设置。安装完成后进入“360流量防火墙”(图5)。左侧的四个防护选项默认是开启的,重启电脑即可。二是绑定IP和MAC地址防护ARP病毒。首先,用“ipconfig/all”命令查出本地计算机的IP地址和MAC地址。接着,实现网关(即路由器)的IP和MAC地址绑定。打开“运行”对话框后,在“打开”后输入“CMD”命令并回车,在提示符后输入“ARP-s10.95.86.214c-34e0-aa-95-66”(本地计算机的MAC地址)即可实现绑定。也可以在命令提示符下输入命令“netsh interface ipv4 show interface”并回车,查看本地计算机中所有网卡的“Idx”代码(图6),从中选择要绑定的Idx(本地连接),本地连接的“Idx”是20。然后,在命令提示符下输入命令“netsh interface ipv4 set neighbors 20 10.95.86.21 4c-34e0-aa-95-66”,回车后实现静态绑定。由于手动操作实现的静态绑定,会在重启电脑后恢复为动态绑定,所以需要建立一个批处理文件,把以下命令放在批处理文件里(图7),然后,把该批处理文件拖放至“开始→所有程序→启动”菜单下,系统在启动时会自动执行该批处理文件。
总之,如果局域网出现ARP病毒,需要检查局域网中每一台计算机,判断出ARP发包源,再使用杀毒软件进行查杀。
一、判断是否是ARP攻击
当发现上网明显变慢,或者突然掉线时,我们可以用ARP命令来检查ARP表。依次单击桌面“开始→运行”菜单,打开“运行”对话框,在“打开”后输入“CMD”命令并回车,进入“CMD”命令提示符界面。接着,在提示符后输入“ARP-A”并回车(图1)如果显示的网关的MAC地址发生了改变,或者有很多IP地址是指向同一个物理地址,可以判定受到了ARP攻击。
二、揪出ARP病毒的主机
通过上面的“ARP-A”命令,那个改变的网关MAC地址或多个IP指向的物理地址,就是病毒主机的MAC地址。接着,再次进入“CMD”命令提示符界面,在提示符后输入“Ipconfig/all”并回车,就可以查出每台计算机的MAC地址(图2)。如果局域网中计算机数量很多的话,可以使用“NBTSCAN”扫描PC的真實IP地址和MAC地址。下载nbtscan.rar文件,将解压好的“cygwin1.dll”和“nbtscan.exe”两文件复制到本地电脑“C:\WINDOWS\system32”下,进入cmd命令提示符界面,在提示符后输入“nbtscan-r10.95.86.0/24”并回车(图3),搜索“10.95.86.1-10.95.86.254”整个网段,输出的第一列是IP地址,最后一列是MAC地址,这样即可找到病毒主机的IP地址。或者进入命令提示符界面,在提示符后输入路由跟踪命令“tracert–dwww.baidu.com”并回车,正常情况下输出的第一条就是默认网关地址。如果第一条并非网关IP地址,那它的主机就是ARP病毒的主机。
三、彻底查杀ARP病毒
彻底查杀ARP病毒,需要定位到攻击源地址,利用ARP专杀工具进行杀毒。找到ARP攻击的源头后,在源头的计算机上安装ARP专杀工具进行查杀操作,对病毒库进行更新后即可进行查杀。如果杀毒软件查杀不干净的话,可以用下面的方法来彻底杀除ARP病毒。首先,进入“%windows%\System32”文件夹,删除“LOADHW.EXE”病毒组件释放者文件,再删除“driversnpf.sysARP”欺骗包的驱动程序。接着,右击桌面“计算机”,选择“设备管理器”菜单,进入“设备管理器”窗口。依次单击“查看→显示隐藏的设备”菜单,在设备树展开“非即插即用”列表项(图4),找到“NetGroupPacketFilterDriver”“NetGroupPacketFilter”后并右击,在弹出菜单中选择“卸载”,确认后进行卸载操作,重启Windows系统。然后,进入“%windows%\System32\drivers”文件夹,删除“npf.sys”。再次进入“%windows%\System32”文件夹,删除“msitinit.dll”文件。最后,依次单击桌面“开始→运行”菜单,打开“运行”对话框,在“打开”后输入“regedit”命令并回车,进入“注册表编辑器”,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”注册表项,删除“Npf”子项后,重启Windows系统即可。
四、防范ARP病毒攻击
一是使用杀毒软件实现ARP防护。打开最新版本的“360安全卫士”,单击主界面右下角的“更多”,进入“功能大全”界面。点击左侧的“网络优化”,在工具列表找到“流量防火墙”并单击,在弹出的新窗口,单击上面的“局域网防护”后,再单击下面“立即开启”进行设置。安装完成后进入“360流量防火墙”(图5)。左侧的四个防护选项默认是开启的,重启电脑即可。二是绑定IP和MAC地址防护ARP病毒。首先,用“ipconfig/all”命令查出本地计算机的IP地址和MAC地址。接着,实现网关(即路由器)的IP和MAC地址绑定。打开“运行”对话框后,在“打开”后输入“CMD”命令并回车,在提示符后输入“ARP-s10.95.86.214c-34e0-aa-95-66”(本地计算机的MAC地址)即可实现绑定。也可以在命令提示符下输入命令“netsh interface ipv4 show interface”并回车,查看本地计算机中所有网卡的“Idx”代码(图6),从中选择要绑定的Idx(本地连接),本地连接的“Idx”是20。然后,在命令提示符下输入命令“netsh interface ipv4 set neighbors 20 10.95.86.21 4c-34e0-aa-95-66”,回车后实现静态绑定。由于手动操作实现的静态绑定,会在重启电脑后恢复为动态绑定,所以需要建立一个批处理文件,把以下命令放在批处理文件里(图7),然后,把该批处理文件拖放至“开始→所有程序→启动”菜单下,系统在启动时会自动执行该批处理文件。
总之,如果局域网出现ARP病毒,需要检查局域网中每一台计算机,判断出ARP发包源,再使用杀毒软件进行查杀。